WordPress güvenlik sömürüsünün geçmişi ve ne anlama geliyor
Dünyanın en ünlü açık kaynaklı yazılım projelerinden biri olan WordPress, ilk ortaya çıktığından beri sürdürülebilir güvenlik sömürüsü için doğal bir hedef haline geldi. Gelişmeye devam eden geliştirme tabanı ve dünyanın en popüler CM’leri olarak konumu ile bu yakın gelecekte değişmeyecektir. Bu yıl önemli güvenlik açığı ortaya çıkması, sürekli uyanıklık ihtiyacını ve siteyi güncel tutmanın önemini bir kez daha hatırlatıyor. Bu makalede, ana WordPress güvenlik sömürü seçeneklerini bugüne kadar ve sizin ve gelecekteki WordPress gibi kullanıcılar için ne anlama geldiğini tartışacağız.
Geçmişi araştırmadan önce, genel olarak WordPress güvenlik sorunlarının bazı boş bölümlerini dolduralım. WordPress güvenliği ile ilgili bazı arka planlar
WordPress Güvenlik Beyaz Kitap WordPress’in Güvenlik Beyaz Kitabı hiç okumadıysanız, okumak için birkaç dakika harcamak güzel.
Bu, güvenliğe proje yaklaşımının kısa bir resmini verir ve aşağıdakileri içeren bir dizi yararlı nokta içerir:
Sürüm Numaralandırma ve Güvenlik Sürümü: Küçük sürüm, son güvenlik sürümünde kanıtlandığı gibi güvenlik açığının üstesinden gelmek için ayrılmıştır.
WordPress Dahili Güvenlik Organizasyonu: WordPress Güvenlik Ekibi yaklaşık 25 kişiden oluşmaktadır ve otomatik kaynakların yarısına katkıda bulunur. Ortak duyarlılıkta diğer endüstriyel liderlerle çalışma konusunda güçlü bir geçmişe sahiptirler ve açıklık politikalarına bağlıdır. En yaygın tehdit türü: Bu makale, açık web uygulaması güvenliği tarafından tanımlanan en yaygın güvenlik tehditlerinin yararlı bir genel resmini de içermektedir. proje. Bu, SQL enjeksiyonu ve çapraz yerinde komut dosyaları gibi genel saldırı vektörlerini içerir.
Eklentilerin ve temaların rolü: Yalnızca WordPress.org adresinde yaklaşık 30.000’den fazla eklenti ve 2.000’den fazla tema ile, şimdiye kadar en savunmasız giriş rotalarını temsil ettikleri açıktır.
Barındırmanın önemi: Yerel WordPress düzeyinde dünyadaki en iyi güvenlik önlemleri, ev sahibi ortamınızın rahatsız olduğunu görürseniz fazla bir şey ifade etmeyecektir.
WordPress Güvenlik Arşivi Yıllarca WordPress Security’de kaç etkinliğin WordPress Güvenlik Arşivlerini ziyaret etmek için en hızlı yolunu elde etmenin en hızlı yolu:
Orada, tek bir yerde kolayca monte edilen tüm güvenlik bültenlerinin ayrıntılarını bugüne kadar bulacaksınız. Günlük girişinden görülebileceği gibi, güvenlik sorunları aniden ortaya çıkma eğilimindedir ve yakında bazı ayrıntıları tartışacağız. Matt Mullenweg tarafından gösterilmediği için güncel kalın, siteniz için yapabileceğiniz güvenlikteki en büyük gelişme, her zaman yeni olmasını sağlamaktır. Ne yazık ki, devam eden saldırı çevrimiçi yaşam gerçeğidir, ancak toplumun hızlı ve şeffaf bir şekilde ele alınmasında çok iyi bir geçmişi vardır. Tehdit seviyesinin çok yüksek olduğu ve bunu yapmaya zorlandığı birkaç önemli zaman dilimine geçelim. 2007/2008 – Erken saldırılar, beşinci yıldönümüne yaklaşırken CMS olarak giderek daha popüler olan WordPress’tir. Bilgisayar korsanları doğal olarak çok önemli olmayan sonuçlara odaklanmaya ve SEO ve AdSense bloglarını hedefleyen sömürü dalgaları 2007 ve 2008 boyunca açıklanmaktadır: TechCrunch oldukça endişe verici bir başlık ile liderlik ediyor.
Durumu daha da kötüleştirmek için, WordPress sunucusunun kendisi bu süre zarfında sızdırıldı ve bu da 2007’de WordPress 2.1.1’de potansiyel arka kapı girişine neden oldu. Bu sorun bir güvenlik sürümünde 2.1.2’de hızla çözülür, ancak yazılımın ilk itibarı üzerinde çok fazla etkisi yoktur. -2007’nin ortalarında, güvenlik sorunları giderek daha fazla topluluk liderleri arasında dikkatin ana odağı haline geldi ve bu yeni odağın ana uzun vadeli etkilerinden biri, WordPress 2.7’ye (Coltrane) bir katlanmanın tanıtılmasıdır. Önceki manuel güncelleme işlemi uzun zamandır kullanıcıların düzenli olarak güncellenmesinde ana tökezleyen blok olarak işaretlenmiştir, büyük bir durum saldırılara karşı savunmasız olan doğrudan sitelerin sayısını arttırır. .6. Durum, 2.8 ve altındaki sürümleri etkileyen ciddi kırılganlıktan corelabların keşfi ile başlar. Bu, 2.8.1 sürümüyle tamamlandı, ancak aynı zamanda WordPress’in genel sertleşmesini ele alan veya daha fazla akut güvenlik açığını artıran bir dizi sürümün başlangıcı oldu. Bu sipariş, 2.8.6’dan Şükran Günü 2009 sürümü ile sona erdi. WordPress’in genel güvenliğini sıkılaştırmanın uzun vadeli etkileri çok olumlu olsa da, topluluktaki çoğu, her hafta bir artışa ihtiyaç duyulduğu göründüğünde, platform için karanlık bir zaman olarak hatırlayacak.
Jason Cosper’ın bu zaman diliminden itibaren çok iyi bir yazı var, tüm olayları perspektife yerleştiriyor ve temsil ettiği platform için değişim noktasını gösteriyor. 2011 görüntüsü ile 2011 problemleri, esas olarak, Popüler Görüntüler Değişen Popüler Görüntüler Yardımcısının PHP kodunu sunucuda keyfi olarak yüklemek ve yürütmek için kullanılabileceği, TimeThumb’un güvenlik açığının büyük ölçekli bir şekilde gelişiyle ünlüdür. Orijinal sorun hızlı bir şekilde yamalanmış ve sonraki yıllarda kamu hizmetleri üzerinde önemli bir ek çalışma yapılmasına rağmen, Timthumb 2014 yılına kadar süren saldırıların hedefi olarak kaldı.
Bu, korsanların güvenlik açığı belirlendikten sonra rotayı hedeflemede sürekliliği hakkında mükemmel bir hatırlatma görevi görür. 2013-2013 ana site riski, daha fazla güvenlik tüylerini görme riski, WordPress sitesi yüksek profilli olan WordPress sitesinden devam eden kırılganlığı vurgulayan bir dizi raporun yayınlanmasıyla tersine döndü. Güvenlik şirketleri, bir milyon Alexa’nın en iyi web sitesi arasında profesyonel olarak kayıtlı olan WordPress sitesinin güvenliğini etkinleştirir ve bulunan 42.106 WordPress sitesinden% 73.2’si, modası geçmiş yazılım sürümleri çalıştırılması sonucunda saldırılara karşı savunmasız olduğu sonucuna varır.
Gerçekte var olan tehdit düzeyi hakkında bazı tartışmalar olmasına rağmen, bu rakamlar rutin güncellemelerin en büyük WordPress kurulumunda bile endişe duyduğunu hatırlatıyor. İsrail CheckMarx şirketinin eklentisi hakkında ayrı bir rapor, en popüler on e-ticaret eklentisinden yedisinin de potansiyel güvenlik açığı içerdiğini buldu. 2015 – Ana eklenti sızdı ve son olarak 2015’te, diğer not yılına geldik. Bu, çoğunlukla WordPress ekosisteminde en çok yüklenen bir dizi eklenti etkileyen XSS’nin güvenlik açığının keşfinden kaynaklanıyor. Etkilenen eklenti kaydı, yoast, yerçekimi formları ve hatta WordPress’ten gerçekten harika ve iyi olandır. Jetpack.
Dünyanın en büyük WordPress eklentisi bile savunmasız olabilir, ancak güvenlik güncellemeleri neredeyse anında yayınlanır.
Her zamanki gibi, çekirdek güvenlik açığı 4.1.2 sürümünde hızla çözüldü, ancak sadece 2015 yılında bile platformun bir on yıldan fazla aktif izleme ve sertleşmesiyle, ana güvenlik sorunlarının hala bir anda ortaya çıkabileceğini gösteriyor. . WPMU dev hakkında daha fazla bilgi edinin, güncellenmenin yanı sıra, elbette sitenizi mümkün olduğunca güvenli oluşturmak için WordPress ile yapabileceğiniz bir dizi daha geniş eylem vardır. Yıllarca WPMU Dev’de birkaç kez güvenlik sorunlarını ele aldık ve dijital kapıyı güçlü bir şekilde kilitlemenize yardımcı olacak kapsamlı bir rehber sağladık. Sitenizi korumak için atılması gereken adımlar hakkında özellikle bu üç makaleyi inceleyin:WordPress Güvenliği: WordPress’i güvence altına almak için denemeye ve düzeltmeye yönelik ipuçları. Jenni McKinnon, yıl başında genel WordPress güvenlik konusuna en son genel bakış verdi. Bu konuyu araştırmaya yeni başlıyorsanız süper bir başlangıç noktası. WordPress Security. Raelene Wilson, sitenizi güvence altına almak için bilmeniz gereken her şey hakkında beş bölümlü video serimizi tanıttı. Saatler site sahipleri için önemlidir.
WordPress Güvenliği: Ana Kılavuz. Kevin Muldoon’un 2014 çalışması, kendi sitesi saldırıya uğradıktan sonra attığı adımlar hakkında çok derin bir rehberdi. Konuya çok bilgilendirici bir derin dalış.
Daha fazla kaynak çevrimiçi güvenlik konuları, daha fazla araştırma için kendimizi iki sağlam başlangıç noktasıyla sınırlandıracağımız için açıkça çok geniştir: WordPress sertleştirme. Codex WordPress’in kendisi daha derine inmek için çok iyi bir başlangıç noktasıdır ve oradan başlamak için WordPress’i güvence altına almaktan daha iyi bir yer yoktur.
Sucuri.net. Bu yıl eklentiler sorununu ortaya çıkarmaya yardımcı olmanın yanı sıra, Sucuri’deki iyi insanlar uzun süredir WordPress güvenlik sorunlarını denetlediler. Blogları genel olarak çok iyi bir çevrimiçi güvenlik kaynağı ve özellikle WordPress.
Sonuç Burada vurguladığımız tarihsel bölümden görebileceğiniz gibi ve 2015 yılında dalgalar yapan mevcut sömürü serisi, güvenlik her zaman WordPress sahibi tarafından dikkate alınması gereken bir konudur.Platformun kendisi, birinci sınıf bir güvenlik ekibini toplamak için yıllarca önemli bir adım attı ve bireysel sömürüye tepkisi doğrudan çok nadirdir.Makalenin sonunda bahsettiğimiz güvenlik kaynaklarının türüne rutin güncellemeler ve dikkat, kendi sitenizi yönetirseniz güvenliği korumanın en iyi yolu olmaya devam ediyor. WordPress’in bu konuyu yıllarca nasıl ele aldığı hakkındaki fikrinizi bilmek istiyoruz. Sömürü dalgasının en sonun platform itibarına ciddi bir darbe olduğunu düşünün.Fikrinizi aşağıdaki yorumlarda paylaşın.
Etiket:
WordPress Güvenliği
